Τεράστια 400.000 proxy botnet κατασκευασμένα με κρυφές μολύνσεις κακόβουλου λογισμικού
Οι ερευνητές ανακάλυψαν μια τεράστια καμπάνια που παρείχε εφαρμογές διακομιστή μεσολάβησης σε τουλάχιστον 400.000 συστήματα Windows. Οι συσκευές λειτουργούν ως κόμβοι εξόδου κατοικιών χωρίς τη συγκατάθεση των χρηστών και μια εταιρεία χρεώνει για την κίνηση μεσολάβησης που διέρχεται από τα μηχανήματα.
Τα οικιακά proxies είναι πολύτιμα για τους εγκληματίες του
κυβερνοχώρο
υ, επειδή μπορούν να βοηθήσουν στην ανάπτυξη επιθέσεων γεμίσματος διαπιστευτηρίων μεγάλης κλίμακας από νέες διευθύνσεις IP. Έχουν επίσης νόμιμους σκοπούς, όπως η επαλήθευση διαφημίσεων, η απόξεση δεδομένων, η δοκιμή ιστοτόπων ή η αλλαγή δρομολόγησης για τη βελτίωση του απορρήτου.
Ορισμένες εταιρείες μεσολάβησης πωλούν πρόσβαση σε διακομιστές μεσολάβησης κατοικιών και προσφέρουν χρηματικές ανταμοιβές σε χρήστες που συμφωνούν να μοιραστούν το εύρος ζώνης τους.
Παρά το γεγονός ότι η εταιρεία πίσω από το
botnet
ισχυρίστηκε ότι οι χρήστες έδωσαν τη συγκατάθεσή τους, οι ερευνητές ανακάλυψαν ότι ο διακομιστής μεσολάβησης εγκαταστάθηκε σιωπηλά στις συσκευές.
“Παρόλο που ο ιστότοπος μεσολάβησης ισχυρίζεται ότι οι κόμβοι εξόδου του προέρχονται μόνο από χρήστες που έχουν ενημερωθεί και έχουν συμφωνήσει για τη χρήση της
συσκευή
ς τους, η Alien Labs έχει στοιχεία ότι οι συντάκτες κακόβουλου λογισμικού εγκαθιστούν το διακομιστή μεσολάβησης σιωπηλά σε μολυσμένα συστήματα.”
AT&T Alien Labs
«Επιπλέον, καθώς η εφαρμογή μεσολάβησης είναι υπογεγραμμένη, δεν διαθέτει ανίχνευση ιών, καθώς περνά στο ραντάρ των εταιρειών ασφαλείας», πρόσθεσαν οι ερευνητές.
αναφέρθηκε την περασμένη εβδομάδα
.
Στην πραγματικότητα, τα δύο δυαδικά αρχεία που βασίζονται στο Go (για macOS και Windows) φαίνεται να προέρχονται από τον ίδιο πηγαίο κώδικα, ωστόσο, ο πελάτης διακομιστή μεσολάβησης των Windows αποφεύγει τον εντοπισμό ιών λόγω της χρήσης έγκυρης ψηφιακής υπογραφής.
Μόλυνση λογισμικού μεσολάβησης
Η μόλυνση ξεκινά με την εκτέλεση ενός loader κρυμμένου σε σπασμένα λογισμικό και παιχνίδια, το οποίο κατεβάζει και εγκαθιστά την εφαρμογή proxy αυτόματα στο παρασκήνιο χωρίς αλληλεπίδραση με τον χρήστη.
Οι δημιουργοί κακόβουλου λογισμικού χρησιμοποιούν το Inno Setup με συγκεκριμένες παραμέτρους που αποκρύπτουν τυχόν ενδείξεις της διαδικασίας εγκατάστασης και όλες τις τυπικές προτροπές χρήστη.
Κατά την εγκατάσταση του προγράμματος-πελάτη μεσολάβησης, το κακόβουλο λογισμικό στέλνει συγκεκριμένες παραμέτρους, οι οποίες αναμεταδίδονται επίσης στον διακομιστή εντολών και ελέγχου (C2), έτσι ώστε ο νέος πελάτης να μπορεί να εγγραφεί και να ενσωματωθεί στο botnet.
Εγκατάσταση και δημιουργία ανθεκτικότητας
Το πρόγραμμα-πελάτης διακομιστή μεσολάβησης καθορίζει την
επιμονή
στο μολυσμένο σύστημα δημιουργώντας ένα κλειδί μητρώου για να το ενεργοποιήσετε κατά την εκκίνηση του συστήματος και προσθέτοντας μια προγραμματισμένη εργασία για έλεγχο για νέες ενημερώσεις προγράμματος-πελάτη.
“Αυτό περιλαμβάνει τα πάντα, από τη λίστα διεργασιών και την παρακολούθηση της CPU έως τη χρήση της μνήμης και ακόμη και την παρακολούθηση της κατάστασης της μπαταρίας.”
Η συλλογή δεδομένων πραγματοποιείται στη μολυσμένη συσκευή
Πώς να προστατεύσετε
Το όνομα της προγραμματισμένης εργασίας είναι “DigitalPulseUpdateTask” και θα πρέπει επίσης να διαγραφεί για να εξαλειφθεί η πιθανότητα ο μηχανισμός
ενημέρωση
ς πελάτη να εισαγάγει εκ νέου τη μόλυνση.
Τέλος, αποφύγετε τη λήψη πειρατικού λογισμικού και την εκτέλεση εκτελέσιμων αρχείων που προέρχονται από αμφίβολες τοποθεσίες όπως δίκτυα peer-to-peer ή ιστότοποι που προσφέρουν δωρεάν λογισμικό premium.
Τα σημάδια μόλυνσης από λογισμικό μεσολάβησης περιλαμβάνουν υποβάθμιση της απόδοσης και της ταχύτητας του Διαδικτύου, απροσδόκητα μοτίβα κυκλοφορίας δικτύου, συχνή επικοινωνία με άγνωστα IP ή τομείς και ειδοποιήσεις συστήματος.
